Seguridad y banda ancha
Las nuevas tecnologías de acceso y de conmutación sobre infraestructuras de fibra óptica han redibujado el escenario de aplicaciones y servicios sobre las redes metropolitanas. La pregunta es si los sistemas de seguridad de las empresas pueden adaptarse a este nuevo ecosistema.
El creciente uso y popularización de Internet ha ofrecido nuevas oportunidades a operadores, empresas y usuarios finales, que han visto la proliferación de nuevos servicios y aplicaciones basadas en el protocolo IP. Al mismo tiempo, los operadores están ofreciendo servicios de conectividad cada vez más rápidos y asequibles, desde los accesos ADSL, Cable o Wireless, hasta conectividad Ethernet en redes metropolitanas, gracias al uso de infraestructuras de fibra óptica.
Esta nueva situación y disponibilidad de ancho de banda favorece la aparición de nuevas aplicaciones y servicios ricos en contenido multimedia, que abren un amplio abanico de servicios de valor añadido. Pero, ¿cómo encaja la seguridad en este nuevo ecosistema? Las necesidades tradicionales de seguridad siguen vigentes: control de acceso, autenticación, autorización y confidencialidad e integridad de la información. Sin embargo, la aparición de accesos y redes MAN de banda ancha y la demanda de nuevos servicios ricos en contenido, consumidores de ancho de banda y sensibles a retardo hace que surjan nuevos matices en las necesidades de seguridad.
Estos matices se centran en evitar que la seguridad penalice a los nuevos servicios que se ofrecerán gracias a la banda ancha. ¿De qué sirve contratar un acceso o conectividad de banda ancha si el firewall no rinde lo suficiente? ¿Por qué las aplicaciones corporativas no funcionan a través de una VPN? La respuesta está en que también los sistemas de seguridad deben adaptarse a esta nueva situación. Los sistemas de control de acceso han de tener un rendimiento acorde al crecimiento en ancho de banda, del mismo modo que el cifrado de datos ni debe penalizar el rendimiento ni debe introducir retardos inaceptables para determinadas aplicaciones.
Otro aspecto a destacar en entornos de VPNs basadas en IPSec es la conveniencia de hacer un tratamiento del tráfico. Si el tráfico se encuentra cifrado en el transcurso de la red, el único tratamiento de dicho tráfico que se puede realizar sería en ambos extremos del túnel. Esto permite hacer una gestión del ancho de banda en la frontera LAN-MAN.
Pongámonos en el peor de los casos: el uso de una aplicación sensible a retardo como es la VoIP a través de una VPN IPSec. En este caso, es necesario que cumplan los siguientes requisitos:
- Aceleración hardware del cifrado. Un proceso software de cifrado penalizaría en exceso el retardo y latencia de los paquetes a su paso por el concentrador VPN. Además, hay que tener en cuenta que IPSec añade un overhead que hace que este aspecto sea aún más crítico.
- Tratamiento de calidad de servicio en los extremos del túnel. En ambos extremos del túnel se debe garantizar el ancho de banda que va a necesitar la VoIP para evitar que otras aplicaciones ‘pesadas’ ocupen la línea en su totalidad. Una vez que tenemos un ancho de banda garantizado, debemos evitar el retardo o variación del retardo mediante la priorización de los paquetes de voz que entran al túnel.
- Priorización del tráfico de voz en la red IP. IPSec es capaz de copiar el campo TOS (Type Of Service) de la cabecera del paquete IP al paquete IPSec. Si el operador que soporta la VPN hace un tratamiento del TOS y en base a esto prioriza los paquetes de voz frente al resto, se conseguiría un mejora sustancial en la calidad. No se podrían habilitar más mecanismos de QoS en la red del operador, ya que el tráfico va cifrado y lo único que nos deja ver IPSec es el TOS.
LA RESPUESTA DE LOS FABRICANTES
Los fabricantes de firewalls y concentradores VPN han respondido ante esta nueva situación dotando a sus productos de las características necesarias para su uso en este tipo de entornos:
- Ampliación de la gama de productos Firewall/VPN. De este modo puedan adaptarse a las necesidades de una pequeña oficina o delegación con acceso cable/ADSL/Wireless, hasta la sede central de una compañía a la que se conectan cientos de delegaciones mediante túneles IPSec.
- Optimización de las funcionalidades. Esto se consigue mediante la fabricación de equipos hardware dedicados, consiguiendo así una mejora de la estabilidad, fiabilidad y rendimiento.
- Aceleración por hardware de procesos criptográficos. Ante la tendencia cada vez más demandada del cifrado de datos y el gran consumo de recursos que los procesos criptográficos producen, muchos fabricantes han optado por delegar las tareas criptográficas a procesadores específicos, que reducen enormemente el impacto de dichos procesos sobre las comunicaciones.
- Inclusión de mecanismos de QoS. Estos mecanismos permiten hacer un tratamiento del tráfico antes de su cifrado. Existen sistemas específicos para el tratamiento del tráfico o gestión de ancho de banda, pero el hecho de que los firewalls/concentradores VPN se encuentren en la frontera LAN-MAN y la necesidad de tratar el tráfico en los extremos del túnel hacen que estos dispositivos de seguridad sean candidatos a realizar ese tratamiento o gestión del ancho de banda.
Mediante la combinación de las tecnologías de banda ancha y los mecanismos de seguridad de alto rendimiento, tanto proveedores de servicios, como empresas y usuarios finales, pueden aprovechar todas las ventajas de los nuevos servicios que se ofrecerán sobre las nuevas redes metropolitanas.
Julio García Gil
jgarciagil@sztele.com
Responsable de Desarrollo de Negocio
L.N. Telemática y Comunicaciones Convergentes
SOLUZIONA telecomunicaciones
El creciente uso y popularización de Internet ha ofrecido nuevas oportunidades a operadores, empresas y usuarios finales, que han visto la proliferación de nuevos servicios y aplicaciones basadas en el protocolo IP. Al mismo tiempo, los operadores están ofreciendo servicios de conectividad cada vez más rápidos y asequibles, desde los accesos ADSL, Cable o Wireless, hasta conectividad Ethernet en redes metropolitanas, gracias al uso de infraestructuras de fibra óptica.
Esta nueva situación y disponibilidad de ancho de banda favorece la aparición de nuevas aplicaciones y servicios ricos en contenido multimedia, que abren un amplio abanico de servicios de valor añadido. Pero, ¿cómo encaja la seguridad en este nuevo ecosistema? Las necesidades tradicionales de seguridad siguen vigentes: control de acceso, autenticación, autorización y confidencialidad e integridad de la información. Sin embargo, la aparición de accesos y redes MAN de banda ancha y la demanda de nuevos servicios ricos en contenido, consumidores de ancho de banda y sensibles a retardo hace que surjan nuevos matices en las necesidades de seguridad.
Estos matices se centran en evitar que la seguridad penalice a los nuevos servicios que se ofrecerán gracias a la banda ancha. ¿De qué sirve contratar un acceso o conectividad de banda ancha si el firewall no rinde lo suficiente? ¿Por qué las aplicaciones corporativas no funcionan a través de una VPN? La respuesta está en que también los sistemas de seguridad deben adaptarse a esta nueva situación. Los sistemas de control de acceso han de tener un rendimiento acorde al crecimiento en ancho de banda, del mismo modo que el cifrado de datos ni debe penalizar el rendimiento ni debe introducir retardos inaceptables para determinadas aplicaciones.
Otro aspecto a destacar en entornos de VPNs basadas en IPSec es la conveniencia de hacer un tratamiento del tráfico. Si el tráfico se encuentra cifrado en el transcurso de la red, el único tratamiento de dicho tráfico que se puede realizar sería en ambos extremos del túnel. Esto permite hacer una gestión del ancho de banda en la frontera LAN-MAN.
Pongámonos en el peor de los casos: el uso de una aplicación sensible a retardo como es la VoIP a través de una VPN IPSec. En este caso, es necesario que cumplan los siguientes requisitos:
- Aceleración hardware del cifrado. Un proceso software de cifrado penalizaría en exceso el retardo y latencia de los paquetes a su paso por el concentrador VPN. Además, hay que tener en cuenta que IPSec añade un overhead que hace que este aspecto sea aún más crítico.
- Tratamiento de calidad de servicio en los extremos del túnel. En ambos extremos del túnel se debe garantizar el ancho de banda que va a necesitar la VoIP para evitar que otras aplicaciones ‘pesadas’ ocupen la línea en su totalidad. Una vez que tenemos un ancho de banda garantizado, debemos evitar el retardo o variación del retardo mediante la priorización de los paquetes de voz que entran al túnel.
- Priorización del tráfico de voz en la red IP. IPSec es capaz de copiar el campo TOS (Type Of Service) de la cabecera del paquete IP al paquete IPSec. Si el operador que soporta la VPN hace un tratamiento del TOS y en base a esto prioriza los paquetes de voz frente al resto, se conseguiría un mejora sustancial en la calidad. No se podrían habilitar más mecanismos de QoS en la red del operador, ya que el tráfico va cifrado y lo único que nos deja ver IPSec es el TOS.
LA RESPUESTA DE LOS FABRICANTES
Los fabricantes de firewalls y concentradores VPN han respondido ante esta nueva situación dotando a sus productos de las características necesarias para su uso en este tipo de entornos:
- Ampliación de la gama de productos Firewall/VPN. De este modo puedan adaptarse a las necesidades de una pequeña oficina o delegación con acceso cable/ADSL/Wireless, hasta la sede central de una compañía a la que se conectan cientos de delegaciones mediante túneles IPSec.
- Optimización de las funcionalidades. Esto se consigue mediante la fabricación de equipos hardware dedicados, consiguiendo así una mejora de la estabilidad, fiabilidad y rendimiento.
- Aceleración por hardware de procesos criptográficos. Ante la tendencia cada vez más demandada del cifrado de datos y el gran consumo de recursos que los procesos criptográficos producen, muchos fabricantes han optado por delegar las tareas criptográficas a procesadores específicos, que reducen enormemente el impacto de dichos procesos sobre las comunicaciones.
- Inclusión de mecanismos de QoS. Estos mecanismos permiten hacer un tratamiento del tráfico antes de su cifrado. Existen sistemas específicos para el tratamiento del tráfico o gestión de ancho de banda, pero el hecho de que los firewalls/concentradores VPN se encuentren en la frontera LAN-MAN y la necesidad de tratar el tráfico en los extremos del túnel hacen que estos dispositivos de seguridad sean candidatos a realizar ese tratamiento o gestión del ancho de banda.
Mediante la combinación de las tecnologías de banda ancha y los mecanismos de seguridad de alto rendimiento, tanto proveedores de servicios, como empresas y usuarios finales, pueden aprovechar todas las ventajas de los nuevos servicios que se ofrecerán sobre las nuevas redes metropolitanas.
Julio García Gil
jgarciagil@sztele.com
Responsable de Desarrollo de Negocio
L.N. Telemática y Comunicaciones Convergentes
SOLUZIONA telecomunicaciones
